我正在開發一個使用Spring框架的Java並在JBoss AS上部署的Web服務。此Web服務需要身份驗證和授權以及安全解決方案,以便某些方法用戶A可以執行並且其他某個用戶B可以執行。在客戶端,將有一個應用程序調用Web服務,人們可以使用用戶帳戶A或B登錄。Web服務中的安全身份驗證
我一直在挖出Internet,搜索Web服務身份驗證,研究WS-Security但我所看到的只是使用WS-Security。 WS-Security的一般供應4種認證:
- 的UsernameToken
- X.509令牌
- SAML令牌
- Kerberos令牌
但所有這些事情通常是預先配置的,我發現沒有例子表明我應該在Web服務中提供登錄/註銷方法(通過使用有狀態的Web服務)。請注意,如果我們使用登錄方法,即使底層是SSL傳輸,也存在安全風險。
所以我的問題是:
- 我應該怎麼做才能滿足我的要求嗎?
- 如果使用UsernameToken或Kerberos令牌...並且我們爲每個用戶提供一些權限,即授權,那麼對於每個傳入請求,我們都必須獲取用戶信息並獲取其所有權限。這個過程似乎需要時間並降低系統的性能。你同意嗎?所以我猜這不推薦?
我會非常感謝你的回覆,並會爲任何合理的答案投票。
沒有人有任何想法? – longbkit